Windows Update: dostępne nowe aktualizacje. Tym razem nietypowe

Microsoft wydał kolejny comiesięczny pakiet aktualizacji dla Windowsa. Na szczycie listy dziurawych komponentów znajdują się składniki, które zazwyczaj nie pojawiają się wśród łatanych funkcji. Dotyczą one multimediów, w tym także tych mało znanych.

Ranking otwiera dziura CVE-2023-38146, znajdująca się w silniku Kompozycji pulpitu Windows. Wiele elementów graficznych systemu można zmieniać zarówno indywidualnie, jak i za pomocą pakietów ustawień i grafik, znanych jako kompozycje. Mechanizm ten, zmniejszający z biegiem lat liczbę obsługiwanych ustawień (i wprowadzający lekki chaos z kursorami), da się wykorzystać do zdalnego wykonania kodu. Zidentyfikowana podatność jest jednak dość naciągana.

Choć oznaczono ją jako atak zdalny bez konieczności uwierzytelnienia... wymagana jest interakcja użytkownika. Okazuje się że chodzi o możliwość wykonania kodu z udziału sieciowego, jeżeli użytkownik Windowsa zainstaluje i zaaplikuje złośliwą kompozycję. Nieuwierzytelniony atak zdalny to termin stosowany dla znacznie poważniejszych dziur. Możliwe, że nagięcie definicji było powodem tak wysokiej wyceny dziury w Kompozycjach (8.8!).

Dalsza część artykułu pod materiałem wideo

Kolejna podatność w Windows to słabość protokołu Miracast. CVE-2023-38147 opisuje możliwość zdalnego wykonania kodu przez złośliwego użytkownika znajdującego się w tej samej sieci bezprzewodowej. Ponownie jednak zachodzi tu chyba nadużycie definicji. Opis szczegółowy informuje, że atakujący nie może wykonać kodu, ale dokonać zdalnej projekcji obrazu, jeżeli atakowany komputer z Windows jest skonfigurowany jako "dostępny wszędzie".

Opis ten musi być niekompletny. Nie jest uzasadnionym, by nazywać krytyczną podatnością możliwość zdalnego wyświetlania obrazu na komputerze skonfigurowanym do przyjmowania zdalnego wyświetlania od każdego klienta. Być może chodzi o wrogie przejęcie już nawiązanej projekcji. Ale to spekulacja. Opisy podatności często są lakoniczne, co ma uzasadnienie. Ten jest niespójny.

Następna "multimedialna" dziura (CVE-2023-36802) dotyczy składnika MSKSSRV.sys. Czyli rzekomo obsługi chmurowej usługi Microsoft Stream. Związek z tą usługą wynika jednak tylko z nieoficjalnych odpowiedzi na forum wsparcia Microsoftu. To raczej niemożliwe, by o to chodziło. Microsoft Stream pochodzi z 2017 roku, jego poprzednik (Office 365 Video) - z 2015. Tymczasem chodzi o sterownik "Microsoft Streaming Service Proxy", słabo udokumentowany i skłaniający najwyraźniej niektórych do łączenia go usługą chmurową dla firm.

Nie są znane żadne szczegóły, ale wiadomo że atak musi być lokalny i pozwala on na wykonanie w Windowsie kodu na uprawnieniach użytkownika SYSTEM. Jedyny opis niniejszego proxy to dokumentacja komponentów. Będąc niemal tautologią, wymaga on zacytowania w oryginale: "The Microsoft Streaming Service Proxy component provides the Microsoft Streaming Service Proxy driver". Wszystko wskazuje na to, że to sterownik do wysokowydajnej obsługi strumieni multimediów na poziomie jądra.

To nie pierwszy raz, gdy Microsoft stosuje niewłaściwe oceny CVSS oraz błędne opisy komponentów. Niedawno błędnie opisano dziurę w składniku CTF, sugerując w notatce, że załatano aktualizacją Windows pewną porzuconą usługę translatorów online, wbudowaną w wyszukiwarkę Bing. Notatki MSRC notorycznie klasyfikują także ataki lokalne jako zdalne, jeżeli są możliwe za pomocą pliku otrzymanego np. mailem, samodzielnie otwartego i ręcznie upoważnionego do wykonania skryptu/makra. To dyskusyjne podejście. Tego typu wątpliwości rzutują na jakość notatek publikowanych przez MSRC.